La seguridad de la identidad es más importante que nunca. El 20 de octubre de 2022, Gartner® publicó su primer informe independiente sobre detección y respuesta a amenazas de identidad(ITDR), "Improve Cyber Readiness with Identity Threat Detection and Response". El informe completo está disponible aquí. (requiere suscripción)
Gracias a este informe, los profesionales de la seguridad y la gestión de riesgos tienen ahora acceso a nuevos estudios, información y recomendaciones para abordar los problemas de seguridad de la identidad. He aquí cinco puntos clave que debe conocer sobre el ITDR:
1. La identidad es el principal vector de los ciberataques
Según Gartner, "la dependencia de las organizaciones de su infraestructura de identidad para permitir la colaboración, el trabajo remoto y el acceso de los clientes a los servicios ha convertido los sistemas de identidad en objetivos principales para los actores de amenazas, siendo el uso indebido de credenciales la vía más popular para las brechas de seguridad en 2021."
En los últimos años, las organizaciones han tenido que hacer frente a la realidad operativa de una plantilla que no podía acudir a la oficina a trabajar. La crisis sanitaria de COVID-19 aceleró lo que deberían haber sido iniciativas de transformación digital de años de duración hasta convertirlas en meses de aplicación. Como ocurre con cualquier adopción de nuevas tecnologías, los atacantes se volcaron en explotar este cambio.
Según el Identity Theft Resource Center, los ataques de ransomware se duplicaron en 2020 y volverán a duplicarse en 2021. Este aumento de la frecuencia de los ataques de ransomware debe atribuirse en parte a los retos a los que se han enfrentado las organizaciones a la hora de habilitar una filosofía de trabajo a distancia, la expansión de nuevos sistemas basados en la nube y las iniciativas de seguridad de confianza cero, todo ello con las identidades como eje central; identidades que los atacantes han demostrado que son vulnerables a la explotación.
La investigación de Illusivereveló que las credenciales de cuentas privilegiadas, como las sesiones RDP almacenadas en caché que permiten a los administradores remotos acceder a los ordenadores, quedan expuestas en más de uno de cada diez ordenadores. Además, las credenciales RDP y VPN son las cuentas más populares y valiosas entre los intermediarios de acceso inicial para los ataques de ransomware. El robo de credenciales almacenadas en caché es el principal método de ataque. Los ataques de toma de control de cuentas (ATO) están muy extendidos.
2. La identidad es la nueva vulnerabilidad
Con la adopción de la computación en nube y la necesidad de apoyar el trabajo desde casa, a menudo oímos que la identidad es el nuevo perímetro; muchos sostienen que la identidad es la base de la ciberseguridad. Como el nuevo perímetro, esto implica que la identidad es también la nueva vulnerabilidad, ya que todo lo que un atacante necesita para comprometer los recursos corporativos es un solo conjunto de credenciales privilegiadas expuestas.
Según Gartner, "las amenazas relacionadas con la identidad son múltiples. Se pueden explotar los errores de configuración y las vulnerabilidades de la infraestructura de identidad".
La investigación de Illusive ha revelado que estas vulnerabilidades de seguridad relacionadas con la identidad están presentes en 1 de cada 6 activos y se clasifican en tres categorías:
No gestionadas: Las cuentas con privilegios deben almacenarse en soluciones de gestión de accesos con privilegios (PAM), pero puede resultar difícil obtener la visibilidad necesaria para inventariar completamente estas cuentas. Por ejemplo, el 87% de los administradores locales no están registrados en la solución de contraseñas de administrador local de Microsoft.
Mala configuración: Las malas configuraciones en Active Directory y otras soluciones de gestión de identidades y accesos (IAM) pueden dar lugar a la creación de "administradores en la sombra", a los que se les han otorgado privilegios innecesariamente elevados a través de políticas de grupo u otras malas configuraciones sin visibilidad de sus derechos.
Expuestas: Incluso cuando las identidades privilegiadas se aprovisionan y gestionan adecuadamente, pueden quedar expuestas durante las operaciones empresariales normales. Con frecuencia, las credenciales almacenadas en caché se guardan en la memoria, el registro o el disco de los endpoints y servidores, de donde pueden extraerlas las herramientas de ataque más utilizadas.
Al ser polifacéticos, los factores de riesgo relacionados con la identidad pueden existir en varias dimensiones. Es malo cuando a una identidad se le conceden privilegios de administrador innecesarios, es peor cuando su contraseña no se ha actualizado en más de un año y lo peor ocurre cuando sus credenciales quedan expuestas, especialmente si no han sido protegidas por una solución PAM.
3. Los atacantes aprovechan las lagunas entre los sistemas de identidad y de seguridad
La complejidad de las identidades de una organización significa que los sistemas de identidad como IAM, PAM y MFA se despliegan en proyectos de varias fases, dejando las identidades expuestas hasta que estos despliegues se completan por completo. Estos despliegues plurianuales también se enfrentan a identidades en constante cambio, que deben redescubrirse con el tiempo para que estos despliegues tengan éxito.
Además, el proceso de descubrir y auditar las cuentas con respecto a las políticas de TI y otros requisitos de cumplimiento, como las políticas de contraseñas y las auditorías PAM, es un proceso tedioso, manual y propenso a errores que se mantiene en hojas de cálculo. Más allá del coste de estos descubrimientos, que requieren mucha mano de obra, quedan obsoletos casi de inmediato, por lo que las organizaciones desconocen el alcance de sus identidades vulnerables y no pueden priorizar los esfuerzos de corrección ni optimizar los proyectos relacionados con las identidades.
Por otra parte, el enfoque de análisis de comportamiento que se utiliza cada vez más para detectar ciberataques falla al supervisar las cuentas privilegiadas en busca de actividad maliciosa debido a la dificultad para distinguir entre el uso aceptable de una cuenta privilegiada por parte de un administrador y las actividades nefastas de los atacantes que han comprometido la cuenta. Esto conduce a indicadores de compromiso (IOC) de falsos positivos y falsos negativos que dejan a los equipos de seguridad en la oscuridad. Como resultado, los ataques de toma de control de cuentas suelen pasar desapercibidos hasta que es demasiado tarde para evitar el ataque.
Al dirigirse a identidades privilegiadas, los actores de amenazas también pueden acelerar las etapas de su ataque. Por ejemplo, en un conocido ataque de ransomware Lapsus$, las credenciales de acceso RDP permitieron a una ATO establecer persistencia y escalar privilegios con solo descargar una herramienta de Github.
Según Gartner, "los controles convencionales de seguridad preventiva y de gestión de identidades y accesos son insuficientes para proteger los sistemas de identidad frente a los ataques. Para reforzar la preparación frente a los ciberataques, los responsables de seguridad y gestión de riesgos deben añadir capacidades ITDR a su infraestructura de seguridad".
4. Un gramo de prevención vale más que un kilogramo de curación
Los actores de amenazas utilizan herramientas de ataque automatizadas, como Mimikatz , para descubrir y explotar identidades vulnerables. De hecho, Mimikatz fue precisamente la herramienta de ataque que Lapsus$ descargó de GitHub para robar las credenciales almacenadas en caché que necesitaban para escalar sus privilegios.
Si bien estos ataques pueden parecer nuevos, la realidad es que Mimikatz es una herramienta de ataque bien conocida que ha sido documentada por el marco MITRE ATT&CK desde 2017. Este ataque Lapsus$ y muchos otros similares sirven como prueba de cómo las herramientas de ataque permiten a los actores de amenazas acelerar las etapas de su ataque.
Por lo tanto, tiene sentido que si las organizaciones quieren reducir el riesgo de forma demostrable, se centren en eliminar las vulnerabilidades relacionadas con la identidad que los actores de amenazas suelen explotar, lo que les permite evitar la detección y llevar a cabo sus ataques en tan solo unos días. Aunque esto era prácticamente imposible en el pasado sin automatización, hoy en día puede lograrse gracias a la disponibilidad de soluciones ITDR que descubren continuamente estas vulnerabilidades, priorizan su resolución en función de los riesgos que presentan y, en algunos casos, automatizan su resolución.
Según Gartner, "prepárese para el ITDR con medidas de higiene mediante el mapeo de sus controles de prevención existentes y la auditoría de su infraestructura IAM en busca de errores de configuración, vulnerabilidades y exposiciones".
5. El ITDR es una prioridad absoluta para la ciberseguridad
Según Gartner, "las amenazas de identidad modernas pueden eludir los controles preventivos tradicionales de gestión de identidad y acceso (IAM), como la autenticación multifactor (MFA). Esto hace que la detección y respuesta a amenazas de identidad (ITDR) sea una prioridad de ciberseguridad para 2022 y más allá."
Los ciberdelincuentes han hecho de la explotación de las infraestructuras de identidad su principal objetivo de ataque. Sus motivos para hacerlo han quedado claros gracias a las pruebas de su capacidad para llevar a cabo rápidamente ataques ATO privilegiados sin ser detectados.
Los profesionales de la seguridad y la TI han trabajado juntos durante años para proteger las redes, los terminales, las aplicaciones y muchas otras capas de sus infraestructuras de TI. Ahora que los atacantes se centran en explotar las identidades vulnerables, las organizaciones deben trabajar para hacer de la protección de las identidades una prioridad absoluta.
En conclusión, la seguridad de la identidad se ha convertido en una prioridad absoluta para las organizaciones, ya que los ciberdelincuentes aprovechan cada vez más las vulnerabilidades de las infraestructuras de identidad para llevar a cabo ataques con éxito. Se están utilizando herramientas de ataque automatizadas, como Mimikatz, para descubrir y explotar identidades vulnerables, lo que permite a los atacantes eludir los controles preventivos tradicionales, como la autenticación multifactor. Por lo tanto, las soluciones de detección y respuesta a las amenazas contra la identidad (ITDR) se han convertido en esenciales para descubrir y eliminar estas vulnerabilidades, que pueden automatizarse utilizando herramientas modernas. En definitiva, está claro que las organizaciones deben hacer de la seguridad de las identidades una prioridad absoluta para reducir los riesgos y evitar que los ataques tengan éxito.
Fuente : Illusive
Compartir en :
